这个php脚本是否可以安全地在我的网站中使用？

Question

我想用密码保护我网站上的某些内容，我正在考虑使用这个PHP脚本

你认为这是一个好方法吗？

你是否对这项任务有更好的了解或改进（如果需要的话）瘦身的方法？

从数据库加载内容的代码是：

<?php


error_reporting(0);
include("config.php");


if (!isset($_REQUEST["p"])) {

    echo 'document.write("<div id=\"protected_'.intval($_REQUEST["id"]).'\">");';
    echo 'document.write("<form onsubmit=\'return LoadContent(\"'.intval($_REQUEST["id"]).'\",\"protected_'.intval($_REQUEST["id"]).'\",document.getElementById(\"pass_'.intval($_REQUEST["id"]).'\").value); return false;\'\"><input type=\'password\' size=\'30\' placeholder=\'Content is protected! Enter password.\' id=\"pass_'.intval($_REQUEST["id"]).'\"></form>");';
    echo 'document.write("</div>");';

} else {

    $sql = "SELECT * FROM ".$SETTINGS["data_table"]." WHERE `id`='".intval($_REQUEST["id"])."' AND password='".mysql_real_escape_string($_REQUEST["p"])."'";
    $sql_result = mysql_query ($sql, $connection ) or die ('request "Could not execute SQL query" '.$sql);

    if (mysql_num_rows($sql_result)==1) {
        $row = mysql_fetch_assoc($sql_result);
        echo $row["content"];
    } else {
        echo 'Wrong password';  
    }

}

?>   

Answer 1

正如我在评论中所说，你不应该再花时间处理下载的内容，因为它已经过时而且不安全。

您可能会以纯文本格式保存密码，这绝对不是一个好主意。

• 是进入21世纪的时候了。

mysql_ API已弃用，已完全从PHP 7.0中删除。

您最好使用预先准备好的声明和password_hash()或compatibility pack。

以下是一些参考文献：

• http://php.net/manual/en/book.password.php
• http://php.net/manual/en/function.password-hash.php
• http://php.net/manual/en/pdo.prepared-statements.php
• http://php.net/manual/en/mysqli.quickstart.prepared-statements.php

N.B。使用mysql_real_escape_string()并不能完全保证防止可能的SQL注入。

请参阅以下关于该主题的问答：

• SQL injection that gets around mysql_real_escape_string()

这是从一个或ircmaxell's个答案中提取的一段代码，它使用（PDO）准备好的语句和password_hash()。

来自：https://stackoverflow.com/a/29778421/1415724

只需使用图书馆。认真。它们存在是有原因的。

• PHP 5.5+：使用password_hash()
• PHP 5.3.7+：使用password-compat（上面的兼容包）
• 所有其他人：使用phpass

不要自己动手。如果你正在创造自己的盐，你做错了。你应该使用一个为你处理这个问题的库。

$dbh = new PDO(...);

$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);

$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);

登录时：

$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
    if (password_verify($_POST['password'], $users[0]->password) {
        // valid login
    } else {
        // invalid password
    }
} else {
    // invalid username
}